Basic認証(Basic authentication)は、インターネット上でのウェブサーバーやウェブアプリケーションなどで利用される、ユーザー認証の一種です。
Basic認証は、ユーザーがリソースにアクセスする際に、ユーザー名とパスワードの組み合わせを使用して認証を行います。
Webサイトにアクセス制限をかける場合に比較的簡単に制限を設けることが出来ます。
Basic認証の仕組み
Basic認証は、HTTPプロトコルで使用され、クライアントがウェブサーバーにリクエストを送信する際に、ユーザー名とパスワードを含んだヘッダーを送信することで認証を行います。
具体的には、ベーシック認証を設定したWebサイトにアクセスすると、認証ダイアログが立ち上がり、ユーザー名(ID)とパスワードの入力が求められます。
ユーザー名(ID)とパスワードを誤って入力すると、401 Authorization Requiredやエラー画面が表示されます。
設定が可能なサーバー
ほとんどのサーバーで設置は可能です。
ベーシック認証を設定するには、.htaccessが設置できることが条件になり、まれに、設定出来な場合があるので、分からない場合はサーバー管理会社への問い合わせが必要です。
Basic認証の特徴
ベーシック認証が適用される範囲
Webアプリケーションやディレクトリに対して認証を簡単に設定できます。
そのため、Basic認証を設定したディレクトリの全てのURLにアクセスすると、IDとパスワードを求めるダイアログが表示されるようになります。
また、webページだけでなく画像やPDFファイルもベーシック認証範囲になります。
ブラウザを閉じるまで有効
認証に成功するとブラウザを閉じるまで、何度でもアクセスする事ができます。
ブラウザを閉じなければ、別のサイトを閲覧した後でも再びアクセスしても認証が成功した状態になっています。
セキュリティの問題
Basic認証は簡単に設定できる反面、セキュリティ上のリスクがあります。
パスワードが暗号化されていないために安全性が低く、また、Base64エンコードは暗号化ではなく単なるエンコードなので、セキュリティが確保されないことが欠点です。
つまり、ベーシック認証で入力したログイン情報は、アルファベット・数字などがそのまま送信されてしまいます。
SSL対応していない場合は外部からログイン情報が盗まれる可能性があります。
まとめ
Basic認証は設置してアクセス制限をかけれるためよく利用されます。
一時的に利用するには便利ですが、通信方法に問題があり、セキュリティの脆弱性がります。
そのことを理解して利用するすることが大切です。
大阪のホームページ制作会社TREVOでは、ホームページ制作に関する情報を掲載しています。最短2日で仮サイトを公開するサービスやSEO対策に特化したホームページ制作、オリジナルホームページデザイン、ライティング、リスティング広告、WEBマーケティングなどのサービスをご紹介しています。
関連の記事
- 衣川知秀
- TREVOWP